W32/Netsky.D@mm 1 Maret 2004 Komputer anda berbunyi beep jam 6 - 9 pagi Hati-hati jika komputer anda pada tanggal 2 Maret 2004, pada jam 06 sampai dengan jam 09 pagi mengeluarkan bunyi beep, kemungkinan komputer anda terkena virus W32/Netsky.D@mm, coba scan hardisk anda dengan menggunakan antivirus yang telah terupdate. Worm dibuat dengan menggunakan bahasa Microsoft Visual C++, yang merupakan bahasa programing tingkat tinggi dan dikompresi menggunakan Petite. Worm ini adalah virus jenis memory-resident yang menyerang via email dengan menggunakan SMTP engine sendiri.
Worn ini akan berusaha untuk menon-aktifkan worm W32/Mydoom.a@MM dan W32/Mydoom.b@MM. Bila worn ini dijalankan ia akan melakukan: Mengkopikan dirinya sendiri kedalam folder WINDOWS dengan nama WINLOGON.EXE (17,424 KB)(Catatan: Untuk windows NT/2000 terletak didirektori C:\WINNT\WINLOGON.EXE, sedangkan pada C:\Windows\WINLOGON.EXE, pada Windows NT, 2000 dan XP, dimana file asli windows dengan nama WINLOGON.EXE ini terletak di folder Windows\ system). Menambah string pada registry key :.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"ICQ Net" = %WinDir%\WINLOGON.EXE stealth Melakukan penghapusan pada string :
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "au.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "d3dupdate.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "Explorer"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "KasperskyAv"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "OLE"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "Taskmon"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "DELETE ME"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "Explorer"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "KasperskyAv"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "msgsvr32"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "Sentry"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "service"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "system."
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "Taskmon"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunServices "system."
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 Jika system menunjukan antara pukul 6:00 dan 9:00 pagi, pada tanggal 2 Maret 2004, computer akan mengeluarkan bunyi beep. Worm ini akan mengambil semua alamat email yang terdapat pada komputer yang telah terinfeksi pada semua file yang mengandung ext dari drive C drive Y (kecuali CD Drive).:
o .adb
o .asp
o .cgi
o .dbx
o .dhtm
o .doc
o .eml
o .htm
o .oft
o .php
o .pl
o .rtf
o .sht
o .shtm
o .msg
o .tbb
o .txt
o .uin
o .vbs
o .wab Worm ini tidak akan mengirimkan dirinya kealamat yang mempunyai string
abuse
fbi
orton
f-pro
aspersky
cafee
orman
itdefender
f-secur
avp
skynet
spam
messagelabs
ymantec
antivi
icrosoft Email yang dikirimkan mempunyai ciri-ciri sbb:
Subject: (salah satu dibawah ini)
Re: Your website
Re: Your product
Re: Your letter
Re: Your archive
Re: Your text
Re: Your bill
Re: Your details
Re: My details
Re: Word file
Re: Excel file
Re: Details
Re: Approved
Re: Your software
Re: Your music
Re: Here
Re: Re: Re: Your document
Re: Hello
Re: Hi
Re: Re: Message
Re: Your picture
Re: Here is the document
Re: Your document
Re: Thanks!
Re: Re: Thanks!
Re: Re: Document
Re: Document Message Body:(salah satu dibawah ini)
Your file is attached.
Please read the attached file.
Please have a look at the attached file.
See the attached file for details.
Here is the file.
Your document is attached. Attachment:(salah satu dibawah ini)
your_website.pif
your_product.pif
your_letter.pif
your_archive.pif
your_text.pif
your_bill.pif
your_details.pif
document_word.pif
document_excel.pif
my_details.pif
all_document.pif
application.pif
mp3music.pif
yours.pif
document_4351.pif
your_file.pif
message_details.pif
your_picture.pif
document_full.pif
message_part2.pif
document.pif
your_document.pif Dibawah ini contoh email yang dikirimkan oleh worm tersebut (lihat gambar 1):
Worm ini mengirimkan dirinya menggunakan dirinya via SMTP dengan menggunakan SMTP engine sendiri. Worm ini menggunakan local DNS server (mendapatkannya via API), jika didapatkan, akan melakuakan MX lokup pada alamat penerima. Jika local DNS gagal, ia akan melakuakan lookup dari hard-code server dari daftar list dibawah ini :
o 145.253.2.171
o 151.189.13.35
o 193.141.40.42
o 193.189.244.205
o 193.193.144.12
o 193.193.158.10
o 194.25.2.129
o 194.25.2.130
o 194.25.2.131
o 194.25.2.132
o 194.25.2.133
o 194.25.2.134
o 195.185.185.195
o 195.20.224.234
o 212.185.252.136
o 212.185.252.73
o 212.185.253.70
o 212.44.160.8
o 212.7.128.162
o 212.7.128.165
o 213.191.74.19
o 217.5.97.137
o 62.155.255.16
Bagaimana cara mengatasi virus ini : Non-aktifkan system restore pada Windows ME/XP Jika komputer anda terhubung kejaringan, copot hubungan komputer tersebut dari jaringan. Gunakan antivirus yang mempunyai opsi untuk melakukan scan terhadap email keluar/masuk dan Update antivirus yang Anda pakai Hapus registry key :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Disebelah kanan layar hapus value:
"ICQ NET" = "%Windir%\winlogon.exe -stealth" Hapus file WINLOGON.EXE pada folder WINDOWS.
(Ctt. Pada windows NT/2000, pada folder WINNT, pada Windows 9x\XP, pada folder WINDOWS.)
AJT PT. Vaksincom Gedung Rifa lt. 4 Jl. Prof. Dr. Satrio blok C4 / 6-7 Jakarta 12950 Telp :021-526 0787 Fax : 021-526 -752 http://www.vaksin.com Email : info@vaksin.com |